뉴스로 돌아가기
연구높음

대규모 언어 모델(LLM) 대상 부상하는 사이드 채널 위협 분석

3분 읽기출처: Schneier on Security

연구진이 LLM에서 발견한 사이드 채널 취약점으로 사용자 프롬프트, 대화 주제, 개인정보(PII) 유출 위험이 확인됨. 대응 방안 제시.

연구진, LLM 내 심각한 사이드 채널 취약점 발견

보안 연구진들이 대규모 언어 모델(LLM)에서 다수의 사이드 채널 공격 벡터를 확인했으며, 이는 암호화된 통신에도 불구하고 사용자 프롬프트, 대화 주제, 그리고 개인 식별 정보(PII)를 노출시킬 수 있는 위협이 된다. 최근 발표된 세 편의 논문은 LLM 추론 시스템에서 타이밍 특성, 추측 디코딩 패턴, 메타데이터 유출을 악용하는 새로운 기법을 상세히 설명하고 있다.

1. 효율적인 LLM 추론을 표적으로 한 원격 타이밍 공격

연구팀은 LLM의 효율성 최적화 기법인 추측 샘플링(speculative sampling)과 병렬 디코딩(parallel decoding)이 데이터 의존적인 타이밍 변동을 유발하며, 이를 원격으로 악용할 수 있음을 입증했다. 사용자와 LLM 서비스 간 암호화된 네트워크 트래픽을 분석하여 공격자는 다음을 추론할 수 있다:

  • 대화 주제(예: 의료 상담 vs. 코딩 지원)를 오픈소스 시스템에서 90% 이상의 정확도로 식별
  • OpenAI의 ChatGPTAnthropic의 Claude와 같은 상용 플랫폼에서의 특정 메시지 또는 사용자 언어 파악
  • 오픈소스 모델을 대상으로 한 능동적 부스팅 공격을 통해 개인정보 복구(예: 전화번호, 신용카드 정보)

이 공격은 블랙박스 접근만으로도 가능하여, 네트워크 트래픽을 모니터링하는 공격자에게 실현 가능한 위협이 된다. 잠재적인 방어 기법으로는 트래픽 셰이핑(traffic shaping)과 상수 시간 추론 기법이 있으나, 이는 성능에 영향을 미칠 수 있다.

2. LLM 내 추측 디코딩을 통한 사이드 채널

LLM의 처리량과 지연 시간을 개선하기 위해 사용되는 추측 디코딩(speculative decoding) 기법이 입력 의존적인 추측 패턴을 통해 민감한 정보를 유출할 수 있음이 밝혀졌다. 연구진은 반복당 토큰 수 또는 패킷 크기를 모니터링하여 공격자가 다음을 수행할 수 있음을 입증했다:

  • 50개 프롬프트 세트에서 사용자 쿼리를 75% 이상의 정확도로 식별 (REST, LADE, BiLD, EAGLE 등 4가지 추측 디코딩 방식에서)
  • 기밀 데이터스토어 내용 유출 속도가 초당 25토큰 이상으로 확인됨

높은 온도 설정(예: 1.0)에서도 정확도는 무작위 기준선보다 유의미하게 높게 유지되었다. 제안된 완화 방안으로는 **패킷 패딩(packet padding)**과 **반복별 토큰 집계(iteration-wise token aggregation)**가 있으나, 이는 효율성 저하를 수반한다.

3. Whisper Leak: 메타데이터 기반 프롬프트 추론 공격

Whisper Leak 공격은 암호화된 LLM 트래픽 내 패킷 크기 및 타이밍 패턴을 악용하여 사용자 프롬프트 주제를 분류한다. 주요 LLM 제공업체의 28개 인기 LLM을 대상으로 평가한 결과, 이 공격은 다음과 같은 성과를 보였다:

  • "자금 세탁"과 같은 민감 주제에 대해 거의 완벽한 분류 성능(대부분 98% 이상의 AUPRC)
  • 극심한 클래스 불균형(10,000:1 노이즈 대 타겟 비율)에서도 높은 정밀도 유지
  • 일부 모델에서 대상 대화의 5~20% 복구 가능성 확인

이 공격은 ISP, 정부, 또는 로컬 공격자에 의한 네트워크 감시 하의 사용자에게 위험을 초래한다. 랜덤 패딩, 토큰 배치, 패킷 주입과 같은 완화 기법이 효과를 감소시킬 수 있으나, 위협을 완전히 제거하지는 못한다.

영향 및 권고 사항

이러한 사이드 채널 공격은 LLM이 의료, 법률 서비스, 기밀 통신 분야에 배포됨에 따라 증가하는 위험을 부각시킨다. 보안 전문가를 위한 주요 시사점은 다음과 같다:

  • 암호화된 트래픽 패턴에서 비정상적인 타이밍 또는 패킷 크기 변동을 모니터링
  • 정보 유출 가능성을 평가하기 위해 추측 디코딩 구현 검토
  • 트래픽 셰이핑(예: 상수 시간 응답) 가능한 경우 도입
  • 메타데이터 난독화 기법(예: 패딩, 배치)을 적용하여 유출 감소

일부 제공업체는 이미 대응책을 배포하기 시작했지만, 이 연구는 AI 시스템 내 메타데이터 유출 문제를 해결하기 위한 산업 전반의 협력 필요성을 강조한다.

공유

TwitterLinkedIn